Защо служителите скриват нарушенията на данните?
Всеки път, когато една голяма компания страда от нарушение, неприятно време - седмици, понякога месеци или дори година - изглежда минава, докато жертвите не бъдат информирани, че личните им данни могат да бъдат в ръцете на група от злосторници.
За да осигури някакъв контекст, компанията Убер, която предлага алтернатива на такситата по света, знае за нарушение от октомври 2016 г., която не разкрива, докато Блумбърг не я съобщи през ноември 2017 г.! Още по-лошо, те дори плащаха откуп на хакерите, които го атакуват, надявайки се, че няма да направи първата страница на новината (план, който очевидно не е ужасен).
Каква е голямата работа? Защо компании като Uber, Equifax и Yahoo крият своите пробиви за толкова дълго време?
Не искате клиентите си да загубят доверие
Това звучи сравнително контрапродуктивно, но някои ръководители си въобразяват, че ако махат своите пробиви под килима, клиентите им по някакъв начин ще продължат да им се доверяват. Пръстите им се пресичат, надявайки се, че нарушението няма да бъде вредно за всички. След като прахът се уреди, те могат да направят съобщение без толкова голямо въздействие.
По някакъв начин, това е нещо като дете, което получава лоши оценки и се колебае да покаже на майка си отчетната си карта. Тя знае, че трябва да пристигне, но се надява, че ще забрави, че ще получи по-добри оценки през следващия семестър, след което може да й покаже по-добрите оценки до по-лошите. - Виж, това не е толкова лошо! - каза той.
За съжаление, тази практика е също толкова контрапродуктивна, колкото звучи. Клиентите са склонни да се чувстват предадени, когато разберат, че личните им данни са изтекли в продължение на месеци без тяхното знание. Това е особено вярно, когато са включени социалноосигурителни номера, номера на кредитни карти или други чувствителни данни.
Не искайте техният запас да падне
При една и съща логика компаниите, чиито акции се търгуват на голяма борса, могат да скрият нарушенията на данните си по същата причина. Разликата тук е, че те не искат техните акционери да бъдат разтревожени. Ако нарушението не се разглежда като изключително вредно, цената на акциите им няма да падне до дъното на една бездна.
Акционерите може да са малко по-опрощаващи. Например, когато Equifax обяви нарушението си на 7 септември 2017 г., се търгуваше някъде около $ 464 на акция. Непосредствено след това на 11 септември цената на акциите достигна 474 долара. Equifax не беше засегнат. Тъй като месецът напредва, той изживява наклон надолу, накрая се търгува на цена от $ 434 на 26 септември.
След това, когато новият цикъл утихна малко, той никога повече не удари този малък брой. До ноември се търгуваше по-висока от тази на 11 септември, достигайки връх от 492 долара на акция.
Освен това, смущение
Представете си себе си като изпълнителен директор: Ръководите компания с не-хиляди служители, милиарди долари активи, десетки милиони потребители / клиенти, всичките девет ярда. Изведнъж мързелив хакер открива уязвимост в сървърите ви, че вашият ИТ отдел забрави да закърпи месеци. Трябваше само един студент да напусне в студиото си студио, за да ви отведе на колене.
Това е доста хит за егото! Какво мислите, че повечето хора с малко надуто чувство на самоуважение биха направили?
Понякога дори директорите с най-добро чувство за почтеност ще изберат само да излязат от бурята и да видят дали всичко ще изчезне. После дойде да ги ухапе и те се оплакват от това решение, тъй като сега е твърде късно. Те носеха отговорност и не успяха да съберат смелостта да признаят, че са направили грешка на самите хора, които атаката е преживяла.
Solutions
В по-голямата част от развития свят съществуват закони за киберсигурността в рамките на комерсиалните кодекси, които не позволяват прекалено много време да мине между откриването на нарушение и неговото обявяване. Закрила като "Убер" през ноември 2017 г. са наложени тежки санкции от Федералната търговска комисия на САЩ (ФТК), за да дадат един пример.
Има дори и законопроект, който минава през Конгреса на САЩ, който ще даде присъда за лишаване от свобода на ръководители, които скриват нарушенията за продължителен и неразумен период от време.
В този момент няма нищо лично, което можете да направите за тези нарушения, освен да бъдете разумни с вашите лични данни, но правителствата имат закони, които санкционират тези компании. Съединените щати просто правят тази крачка напред, като добавят в затвора време за възможни санкции.
Продължава да се повтаря, че не бива да поставяте прекалено много от вашите чувствителни неща в Интернет - независимо от това доколко надеждността на организацията, която сте му поверили, е - освен ако не трябва абсолютно да направите това.
Какво мислиш? Трябва ли ръководителите да отидат в затвора, за да крият нарушения на данните, които засягат клиентите на бизнеса, който представляват? Кажете ни какво мислите в коментара!